Les principes clefs du RGPD
Le Règlement Général sur la Protection des Données (RGPD) représente le cadre légal entourant les données personnelles.
Découvrons ensemble quels en sont les principes clefs.
Quels types de données sont concernées ?
Les données personnelles touchant à la vie privée et aux droits et libertés fondamentaux des individus, leur manipulation et leur exploitation nécessitent des précautions particulières.
L’objectif est double : D’un côté, sécuriser la gestion des données personnelles, et de l’autre, prévenir les risques de fuite ou piratage de données.
Est considéré comme données à caractère personnel : toute information identifiant une personne physique directement (nom, prénom, image, vidéo…) ou indirectement (numéro de téléphone, numéro de compte bancaire, empreinte…).
Ainsi, seules sont exclues du champ d’application du RGPD les données anonymisées et les données concernant les personnes morales.
Le RGPD vise donc tout traitement de ces données, correspondant à toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que :
- la collecte,
- l’enregistrement,
- l’organisation,
- la structuration,
- la conservation,
- l’adaptation ou la modification,
- l’extraction,
- la consultation,
- l’utilisation,
- la communication par transmission,
- la diffusion ou toute autre forme de mise à disposition,
- le rapprochement ou l’interconnexion,
- la limitation,
- l’effacement,
- la destruction.
À quoi sert le RGPD ?
Le RGPD a été mis en place afin de pouvoir garantir plusieurs grands principes fondamentaux :
- la limitation de la conservation ainsi que l’intégrité et la confidentialité de ces données
- la minimisation et l’exactitude des données à caractère personnel
- la licéité, la loyauté et la transparence des traitements de données à caractère personnel
-
la limitation des finalités de ces traitements
Pour ce faire, les données à caractère personnel doivent ainsi être (RGPD art. 5) :
- Traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence)
- Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré comme incompatible avec les finalités initiales (limitation des finalités).
- Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données).
- Exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude).
- Conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation).
- Traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).
Le traitement des données à caractère personnel est considéré comme licite, notamment, lorsque la personne concernée a consenti au traitement de ses données pour une ou plusieurs finalités spécifiques ou quand le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ou est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique (RGPD art. 6)
